認証ロールとユーザー・ロール
アプリケーション内のページおよびデータへのアクセスを管理するには、「認証ロール」を使用します。 デフォルトの認証ロールに加えて、「ユーザーのロール」を作成して認証済ユーザーをアプリケーション・リソースに割り当てることで、アプリケーション・リソースへのアクセスを微調整できます。
| 認証ロール | 説明 |
|---|---|
| Authenticated User | Visual Builderアプリケーションにアクセスするすべてのユーザーには、サインイン後にこのロールが割り当てられます。 認証済ユーザーは、オブジェクトへのアクセスが認証済ユーザー・ロールに対して明示的に無効にされていないかぎり、すべてのコンポーネントを表示し、ビジネス・オブジェクトを管理できます。 すべての開発者には、デフォルトでこのロールが割り当てられます。 |
| Anonymous User | Visual Builderアプリケーションにアクセスするすべてのユーザーは、アプリケーションへの匿名アクセスが有効な場合にこのロールを割り当てられます。 匿名ユーザーは、匿名ユーザー・ロールに対して匿名アクセスが明示的に有効になっていないかぎり、アプリケーション・ビジネス・オブジェクトに格納されたデータやサービスから取得されたデータにアクセスできません。 |
アプリケーションで認証が必要な場合は、ユーザー・ロールを介してアプリケーション内のビジネス・オブジェクトおよびデータへのアクセスをさらに制御できます。 アプリケーションのユーザー・ロールにより、アイデンティティ・プロバイダで同じロールまたはグループを割り当てられたユーザーに、アプリケーションでの同等のアクセス権が付与されます。 ユーザー・ロールは、アプリケーションの設定エディタの「ユーザー・ロール」タブで定義します。 「ユーザーのロールとアクセス権の管理」を参照してください。
開発者は、アイデンティティ・ドメイン内のユーザーまたはグループをビジュアル・アプリケーションのユーザー・ロールに割り当てることができますが、アイデンティティ・ドメインにユーザーを追加できるのはアイデンティティ・ドメイン管理者のみです。 アイデンティティ・ドメイン管理者は、ユーザーをグループに追加し、アイデンティティ・プロバイダで管理する必要があります。 管理者はOracle Identity Cloud Service (IDCS)を使用してグループを管理するか、Oracle Shared Identity Manager (SIM)を使用して従来のクラウド・アカウントを使用してサービスのロールを管理します。 すべてのユーザー認証がアイデンティティ・プロバイダに委任されます。
ノート:
IDCSを既存のアイデンティティ・プロバイダとフェデレートする場合は、「アイデンティティ・プロバイダによるフェデレート」を参照してください。
サードパーティ・プロバイダにマップする独自のセキュリティ・プロバイダを作成して、アプリケーションが使用しているデフォルトのセキュリティ・プロバイダをオーバーライドすることもできます。 これは、RESTサービス・コールへのアイデンティティ伝播などの機能に影響する場合があります。 「セキュリティ・プロバイダ」を参照してください。
ユーザーがユーザー・ロールによって保護されているビジネス・オブジェクトのデータにアクセスしようとすると、そのユーザーに割り当てられているロールがアイデンティティ・プロバイダで認証されます。 ユーザーにアクセス権が付与されるのは、ビジネス・オブジェクトを保護するユーザー・ロールのいずれかが、アイデンティティ・プロバイダでユーザーに割り当てられているロールまたはグループのいずれかにマップされている場合です。 ロールに基づくセキュリティは、デフォルトで無効になっています。 ビジネス・オブジェクト・エディタのビジネス・オブジェクトのセキュリティ・タブでオブジェクトを表示、作成、更新および削除するためのロール・ベースのセキュリティおよび権限を設定できます。 「セキュア・ビジネス・オブジェクト」を参照してください。
ノート:
デフォルトでは、「Authenticated Users」はアプリケーション内のすべてのオブジェクトおよびコンポーネントにアクセスできます。 ロールベースのセキュリティを完全に有効にするには、ユーザー・ロールに対するオブジェクトの認証または可視性を明示的に指定し、認証済ユーザー認証ロールのアクセスを無効にする必要があります。